La Commission nationale de l’informatique et des libertĂ©s (Cnil) inflige Ă Â EDF une amende de 600 000 €. Elle reproche au premier fournisseur d’Ă©lectricitĂ© en France de ne pas avoir respectĂ© ses obligations en matière de prospection commerciale et de droits des personnes.
Parmi les griefs retenus, la Cnil souligne en particulier un manquement Ă l’obligation d’assurer la sĂ©curitĂ© des donnĂ©es personnelles, en vertu du Règlement gĂ©nĂ©ral sur la protection des donnĂ©es. Une sĂ©curitĂ© des donnĂ©es jugĂ©e insuffisante et des mots de passe trop faibles.
Un salage pas bien étalé
Jusqu’en juillet 2022, les mots de passe d’un peu moins de 26 000 comptes pour l’espace client du portail prime Ă©nergie Ă©taient stockĂ©s avec la fonction de hachage MD5 largement obsolète, alors qu’une fonction de hachage plus robuste Ă©tait censĂ©e ĂŞtre utilisĂ©e depuis janvier 2018… ce qui demeure nĂ©anmoins tardif.
Pour l’accès Ă l’espace client EDF, les contrĂ´les de la Cnil ont en outre rĂ©vĂ©lĂ© que si plus de 11,2 millions de mots passe de comptes Ă©taient hachĂ©s et salĂ©s, plus de 2,4 millions Ă©taient uniquement hachĂ©s.
Le salage consiste Ă insĂ©rer des caractères alĂ©atoires au mot de passe avant d’appliquer la fonction de hachage Ă sens unique. Cela permet une protection supplĂ©mentaire contre des attaques de type dictionnaire et afin d’Ă©viter de retrouver un mot de passe avec la comparaison de hachages.
De l’histoire dĂ©sormais ancienne pour EDF
Dans sa communication, la Cnil souligne la coopĂ©ration d’EDF et prĂ©cise que tous les manquements signalĂ©s ont Ă©tĂ© comblĂ©s. Au-delĂ de la question des mots de passe, il y avait un dĂ©faut de recueil du consentement prĂ©alable des personnes pour de la prospection commerciale par email rĂ©alisĂ©e entre 2020 et 2021.
Il a Ă©galement Ă©tĂ© reprochĂ© Ă EDF un manque d’information sur l’utilisation des donnĂ©es personnelles, des imprĂ©cisions sur les durĂ©es de conservation des donnĂ©es, le non-respect du droit d’accès et d’opposition Ă recevoir de la prospection personnelle.
Mi-novembre, c’est la plateforme de messagerie Discord qui a Ă©tĂ© sanctionnĂ©e par la Cnil avec une amende de 800 000 €.
Comments are Closed